Agem após um evento malicioso. Podem inserir regras em um firewall acoplado ou tentar encerrar a conexão utilizando pacotes falsificados. É importante ressaltar que, em alguns ataques, a reação pode ser tardia demais. Existem ataques em que um pacote é suficiente para causar algum tipo de estrago. Nesses casos, no momento em que o IDS reagir ao ataque, será tarde demais.

Não causam nenhuma alteração no ambiente. Fazem apenas registros dos eventos e notificações para os administradores. Uma vantagem de um IDS passivo é que ele não causa nenhuma interrupção na rede caso falhe, porém o tráfego malicioso deixará de ser detectado. Aqui temos uma aplicação inversa do princípio de fail safe.

Agem ativamente em caso de evento malicioso. Os sistemas ativos são chamados de Sistemas de Prevenção de Intrusos ou IPS.